大量各种各样的软件收集了开发人员可以到达的所有内容,这对收集到的数据的安全性造成了真正的问题(包括其他道德和法律问题)。 由于间谍软件开发人员非常热衷于收集数据,以至于他们没有时间考虑安全存储的问题,因此,通常情况下,数据只是简单明了。
例如,旨在跟踪“孩子” iPhone的TeenSafe应用程序在亚马逊的公共云中存储了Apple用户ID的电子邮件地址和文本密码。 TeenSafe使用两个AWS云服务器(Amazon S3)存储一个数据库,其中包含父母和孩子的电子邮件地址(与安装该应用程序的设备的Apple ID相关的地址),设备名称和标识符以及Apple ID帐户的文本密码一个孩子。 数据库中有10,200个条目。 这时最微妙的事情是,TeenSafe要求禁用将使用该应用程序的设备的Apple ID的两因素身份验证。
Spyfone出售用于跟踪基于iOS和Android的手机的应用程序,在不正确配置的Amazon S3(AWS)服务器上,公共域中的Facebook上留下了数TB的数据,包括SMS,通话录音,联系人和文本消息。 发现时,数据库中有3666台受监控的电话和2208台客户端。 此外,Spyfone在其API中保留了未受保护的功能之一,从而允许任何人查看客户端列表。
一个单独的问题是存储此类应用程序数据的服务器的安全性。 例如,一个未知的黑客入侵了TheTruthSpy的服务器,该服务器还发布了iOS和Android应用程序以跟踪智能手机所有者。 他能够访问安装了TheTruthSpy软件的手机上截获的登录信息,密码,照片,音频呼叫,SMS,地理位置数据,聊天和其他数据。 总共有超过1万个客户帐户受到影响。 该黑客的作者声称,他在检查了Android应用程序代码后便能够对TheTruthSpy进行黑客攻击,从而发现了一些漏洞。 特别是,TheTruthSpy服务器以明文形式返回该帐户的登录名和密码,以响应向其发送客户端ID。
另一位黑客能够访问Rackspace网站上的Family Orbit服务器,并下载了281 GB的间谍软件收集的照片和视频资料。 Family Orbit是另一个旨在监视“儿童”智能手机的应用程序。 与TheTruthSpy一样,在Family Orbit应用程序中检测到一个错误,可以轻松访问服务器。 尽管已加密形式,但在应用程序本身中“连接”了云服务器访问密钥。
好吧,历史的王冠就是以色列公司NSO Group的前雇员,该公司生产用于从智能手机提取数据的工具,他曾试图以5000万美元的价格在黑市上出售被盗的公司代码。使用DLP系统,但不能。 没有任何帮助。 当您信任某种带有敏感信息的应用程序时,尤其是有关儿童的敏感信息时,请记住,它实际上可以将其存储在“阳台上”。